Bradley Manning. Det är ett namn som borde ge de flesta säkerhetsansvariga och företagsledningar skrämselhicka. För de som inte känner igen namnet är Bradley Manning den man som misstänks för att ha lämnat ut 260 000 dokument från USA:s diplomater runt om i världen till Wikileaks. Hur stor skada det har åsamkat USA vet vi inte, men det har i alla fall varit den mest pinsamma incidenten någonsin för USA:s utrikesdepartement.

it


En förödande insider
Det som gör det här fallet intressant även för svenska företag är att det illustrerar hur mycket skada en insider på it-avdelningen kan göra. Det är inte troligt att ens den mest välorganiserade hackerattack skulle ha lyckats få ut så mycket information som Bradley Manning gjorde genom att använda de behörigheter han hade i systemet.

Det är just när det kommer till behörigheterna som många företag har anledning att oroa sig. Bradley Manning var ingen toppdiplomat med hög säkerhetsklassning. Han var en vanlig menig i amerikanska försvaret som råkade ha en tjänst som gav honom tillgång till Secret Internet Protocol Router Network, Siprinet, det nätverk som amerikanska försvaret och utrikesdepartementet använder för att skicka hemliga dokument.

Enligt vad Manning skrev i en chatt var säkerheten i systemet ”djävligt svag … osäkra servrar, dålig loggning, dålig fysisk säkerhet, dålig underrättelseverksamhet, dålig signalanalys … en perfekt storm”. Det är en beskrivning som säkert skulle passa in på många svenska företags it-miljöer också.


Alla har alla behörigheter
En konsult, som vi låter vara anonym, beskriver läget så här:
”På många ställen jag varit finns det ett standardkonto med behörigheter som alla it-tekniker får när de anställs. Det spelar ingen större roll vad du ska göra på it-avdelningen – du får de behörigheter du behöver för att sköta ditt jobb. Men eftersom de använder en standardbehörighet får du i praktiken behörighet att sköta de flestas jobb och får tillgång till system och information som du egentligen inte borde ha något behov av.

Även om it-chefen egentligen är medveten om att det här inte är så bra ur säkerhetssynvinkel får det fortsätta, för att det är praktiskt. Man behöver inte fundera på vem som ska ha vilka rättigheter, och om någon är sjuk kan andra hoppa in och fixa det nödvändigaste i hans system direkt eftersom de redan har den behörighet de behöver.”